Configura IAM para la solución Bare Metal

Si quieres una principal, como un usuario o una cuenta de servicio de un proyecto de Google Cloud, para obtener acceso a los recursos del entorno de la solución Bare Metal, debes otorgarles los roles y permisos adecuados. Para otorgar acceso, puedes crear una política de administración de identidades y accesos (IAM) y asignar roles predefinidos específicos a la solución Bare Metal.

Otorga roles con permisos suficientes para que tus principales puedan realizar su trabajo, pero no más, de modo que puedas seguir el principio de privilegio mínimo de seguridad de Google Cloud.

Funciones predefinidas para la solución Bare Metal

Cada rol de IAM para la solución Bare Metal contiene permisos que y otorgar a la principal acceso a recursos específicos, como se muestra en la siguiente tabla

Nombre de la función Path Description
Administrador de la solución Bare Metal roles/baremetalsolution.admin
(El rol básico de propietario también tiene estos permisos)		 Tiene control completo sobre todos los recursos actuales y futuros de la solución Bare Metal. Este rol recibe permisos de lectura y escritura a nivel de proyecto.
Editor de la solución Bare Metal roles/baremetalsolution.editor
(El rol básico de editor también tiene estos permisos)		 Editor de todos los recursos actuales y futuros de la solución Bare Metal Este rol recibe permisos de lectura y escritura a nivel de proyecto.
Visualizador de soluciones Bare Metal roles/baremetalsolution.viewer
(El rol básico de visualizador también tiene estos permisos)		 Visualizador de todos los recursos actuales y futuros de la solución Bare Metal. Este rol recibe permisos de solo lectura a nivel de proyecto.
Administrador de instancias de la solución Bare Metal roles/baremetalsolution.instancesadmin Administrador de servidores de la solución Bare Metal.
Editor de instancias de la solución Bare Metal roles/baremetalsolution.instanceseditor Editor de servidores de solución Bare Metal. Este rol recibe permisos para supervisar y administrar servidores.
Visualizador de instancias de la solución Bare Metal roles/baremetalsolution.instancesviewer Visualizador de servidores de la solución Bare Metal Este rol recibe permisos de solo lectura para ver servidores.
Administrador de almacenamiento de la solución Bare Metal roles/baremetalsolution.storageadmin Administrador de recursos de almacenamiento de la solución Bare Metal, incluidos volúmenes, LUN, instantáneas y políticas de programación de instantáneas.
Editor de almacenamiento de la solución Bare Metal roles/baremetalsolution.storageeditor Editor de recursos de almacenamiento de la solución Bare Metal, incluidos volúmenes, LUN, instantáneas y políticas de programación de instantáneas. Este rol recibe permisos para supervisar y administrar el almacenamiento.
Visualizador de almacenamiento de la solución Bare Metal roles/baremetalsolution.storageviewer Visualizador de recursos de almacenamiento de la solución Bare Metal, incluidos volúmenes, LUN, instantáneas y políticas de programación de instantáneas. Este rol recibe permisos de solo lectura para ver el almacenamiento.
Administrador de redes de la solución Bare Metal roles/baremetalsolution.networksadmin Administrador de recursos de red de la solución Bare Metal
Editor de redes de la solución Bare Metal roles/baremetalsolution.networkseditor Editor de recursos de redes de la solución Bare Metal. Este rol recibe permisos para supervisar y administrar redes.
Visualizador de redes de la solución Bare Metal roles/baremetalsolution.networksviewer Visualizador de recursos de herramientas de redes de la solución Bare Metal. Este rol recibe permisos de solo lectura para ver las redes.
Administrador de recursos compartidos de NFS de la solución Bare Metal roles/baremetalsolution.nfssharesadmin Puede administrar los recursos de NFS de la solución Bare Metal.
Editor de recursos compartidos de NFS de la solución Bare Metal roles/baremetalsolution.nfsshareseditor Puede editar los recursos de NFS de la solución Bare Metal. Este rol recibe permisos para supervisar y administrar el almacenamiento de archivos NFS.
Visualizador de recursos compartidos de NFS de la solución Bare Metal roles/baremetalsolution.nfssharesviewer Puede visualizar los recursos de NFS de la solución Bare Metal. Este rol recibe permisos de solo lectura para ver el almacenamiento de archivos NFS.

Para las funciones mencionadas anteriormente, recomendamos aplicarlas de la siguiente manera:

  • Completa un formulario de admisión

    • Funciones de la solución Bare Metal: administrador, editor o administrador de instancias Y visualizador de red de Compute
    • Roles básicos: propietario o editor

  • Reinicia un servidor de la solución Bare Metal

    • Funciones de la solución Bare Metal: administrador o editor
    • Roles básicos: propietario o editor

  • Muestra una lista de servidores o solicita un estado

    • Funciones de la solución Bare Metal: Visualizador o visualizador de instancias
    • Función básica: Visualizador

  • Administra componentes de almacenamiento

    • Roles de la solución Bare Metal: administrador, editor o administrador de almacenamiento
    • Roles básicos: propietario o editor

  • Administra componentes de herramientas de redes

    • Roles de la solución Bare Metal: administrador, editor o administrador de redes
    • Roles básicos: propietario o editor

Para obtener una lista completa de los roles de la solución Bare Metal, consulta Roles predefinidos y, luego, ingresa baremetalsolution. en el cuadro de búsqueda.

Para obtener una lista completa de los permisos de la solución Bare Metal, consulta Buscar un permiso y, luego, ingresa baremetalsolution. en el cuadro de búsqueda.

Otorga una función de IAM

Agrega una política de IAM para otorgarle un rol de la solución Bare Metal una principal. El rol contiene permisos que le permiten a la principal realizar determinadas acciones. Para otorgar una función:

Console

  1. Asegúrate de tener una función que contenga los permisos de IAM adecuados para asignar funciones a otros, comopropietario, Administrador de IAM de proyecto o Administrador de seguridad. Para obtener más información sobre este requisito, consulta Roles obligatorios.

  2. En la consola de Google Cloud, ve a IAM en la página de permisos.

    Ir a IAM

  3. Haz clic en Otorgar acceso.

  4. Ingresa la siguiente información:

    • En Agregar principales, ingresa tus usuarios. Puedes agregar usuarios individuales usuarios, Grupos de Google, cuentas de servicio o Google Workspace dominios.

    • En Asignar roles, elige un rol del menú Selecciona un rol. para otorgar este rol a las principales.

    • Haz clic en Agregar otro rol si debes asignar varios roles a las principales.

    • Haz clic en Guardar.

    Tus principales y sus roles asignados aparecen en la sección IAM permisos.

gcloud

  1. Asegúrate de tener un rol que contenga los permisos de IAM adecuados para otorgar roles a otras personas, como Propietario, Administrador de IAM del proyecto Administrador de seguridad. Para obtener más información sobre este requisito, consulta Roles requeridos.

  2. Abre una ventana de Cloud Shell en tu proyecto de Google Cloud.

  3. Agrega tu ID del proyecto de Google Cloud y la dirección de correo electrónico de tu la cuenta de Google Cloud de la principal y la solución Bare Metal deseada del rol de IAM en el siguiente comando:

    gcloud projects add-iam-policy-binding PROJECT_ID \
 --member=user:username@example.com \
 --role=roles/baremetalsolution.admin

  4. Copia el comando y pégalo en tu ventana de Cloud Shell.

  5. Presiona las teclas Intro o Volver.

  6. En algunos casos, se abrirá una ventana Autorizar Cloud Shell que solicitará que permitas una llamada a la API. Si ves esto, haz clic en Autorizar.

  7. Cuando hayas escrito los comandos correctamente, el resultado obtenido se verá así:

    Updated IAM policy for project [PROJECT_ID].
  bindings:
  - members:
   - user:username@example.com
   role: roles/baremetalsolution.admin
  - members:
   - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
   role: roles/compute.serviceAgent
  - members:
   - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com
   - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com
   role: roles/editor
  - members:
   - user:username@example.com
   role: roles/owner
  etag: ETAG_NUMBER
  version: 1

Si quieres obtener más información sobre IAM, consulta Administración de identidades y accesos.